本文說明如何使用 Cloud Monitoring 觀察記錄資料中的趨勢,並在您指定的條件發生時通知您。為提供 Cloud Monitoring 記錄資料,記錄功能支援下列功能:
您可以從記錄項目產生自訂指標。這些指標稱為「記錄指標」。您也可以建立以指標為基礎的快訊政策,在記錄指標符合特定條件時通知您。詳情請參閱「使用記錄指標來呈現記錄項目資料」。
您可以使用快訊政策,在記錄項目中顯示訊息時,以近乎即時的方式進行監控。這類警告政策稱為以記錄檔為準的警告政策。詳情請參閱「監控訊息的個別記錄項目」。
您可以在 Log Analytics 中編寫 SQL 查詢,並建立用於監控查詢結果的警示政策。這類警告政策稱為以 SQL 為準的警告政策。詳情請參閱「監控 SQL 查詢結果」。
以 SQL 為基礎的警示政策目前為公開預先發布版。
本文其餘部分會說明這三種警示政策的差異,並提供授權、費用和限制的相關資訊。
使用記錄指標以視覺化方式呈現記錄項目資料
如要監控記錄資料中一再發生的事件,請使用記錄指標。記錄指標會根據記錄資料產生數值資料,適合用於下列任一情況:
- 在記錄資料中計算警告或錯誤等訊息的發生次數,並在次數超過門檻時收到通知。
- 觀察資料中的趨勢 (例如記錄資料中的延遲值),並在值以不當方式變更時收到通知。
- 建立圖表來顯示擷取的數值資料。
由於記錄指標會根據記錄資料產生數值資料,因此您可以在警告政策中使用這些指標,並在圖表中顯示這些指標。如要瞭解如何為記錄指標建立警告政策和圖表,請參閱「設定記錄指標的通知」。
Cloud Monitoring 提供一組預先定義的記錄指標,您也可以自行定義。如要查看系統定義的記錄指標清單,請按一下下方的 add_circle 按鈕:
使用者定義的記錄指標
您可以建立記錄為基礎的指標,從記錄資料中擷取數值資料。使用者定義的記錄指標會計算所包含和排除的記錄項目值。
根據預設,使用者定義的記錄指標會從 Google Cloud 專案中 Log Router 收到的所有記錄項目收集資料,但您可以定義記錄指標,從轉送至特定記錄檔值區的記錄項目收集資料。
如果您定義自己的記錄檔指標,可能會產生費用。如要進一步瞭解與指標攝入作業相關的費用,請參閱「計費指標」。
監控訊息的個別記錄項目
如果您想在記錄項目中出現特定訊息時收到通知,請使用以記錄為基礎的警告政策。記錄快訊政策可用於擷取記錄項目中的安全性相關事件,例如:
- 您希望在稽核記錄中顯示事件時收到通知,例如使用者存取服務帳戶的安全性金鑰。
- 應用程式會將部署訊息寫入記錄,您希望在記錄部署變更時收到通知。
以記錄檔為準的快訊政策適用於您預期為罕見且重要的事件。您不想知道趨勢或模式,而是想知道發生了什麼事。
記錄型快訊政策是在專案中定義,且在下列條件為真時掃描記錄項目:
- 已啟用結帳功能。
- 記錄項目來自專案。
記錄項目來源專案或記錄項目轉送專案中的接收器,會將記錄項目轉送至記錄檔值區。
舉例來說,假設記錄項目來自專案
A。如果專案A中的記錄接收器將記錄項目轉送至記錄檔值區,則專案A中定義的記錄警示政策會掃描記錄項目。舉第二個例子來說,假設記錄項目來自專案
X,而專案X中的記錄接收器會將記錄項目轉送至專案Y。如果專案Y中的接收器將記錄項目轉送至記錄檔值區,則在專案X和專案Y中定義的記錄式警告政策會掃描記錄項目。
您無法使用以記錄為基礎的快訊政策,監控資料夾、帳單帳戶或機構中產生的記錄項目,也無法監控未儲存在記錄檔值區中的記錄項目。如果您建立匯總接收端,這些接收端可能會攔截記錄項目,並防止記錄項目在記錄項目來源專案中的接收端中轉送。
如要瞭解如何建立以記錄為基礎的警告政策,請參閱「設定以記錄為基礎的警告政策」。
監控 SQL 查詢結果
您可以設定快訊政策,讓 Log Analytics 針對記錄項目資料執行 SQL 查詢。當您想根據無法透過以記錄為基礎的快訊政策評估的模式 (例如記錄項目中的複雜模式或記錄資料匯總) 收到通知時,這類快訊政策就會生效。詳情請參閱「透過快訊政策監控 SQL 查詢結果」。
警示選項比較
本節將比較以記錄指標為基礎的警告政策、以記錄為基礎的警告政策和以 SQL 為基礎的警告政策。
摘要表格
下表總結了警示技巧,並提供其他資訊的連結:
| 以指標為準的快訊政策 | 記錄檔警告政策 | 以 SQL 為基礎的快訊政策 | 更多資訊 |
|---|---|---|---|
| 根據記錄項目衍生的指標 | 根據個別記錄項目中的字串 | 根據記錄項目的 SQL 查詢所傳回的資料表 | 記錄指標 記錄式警示 SQL 式警示 |
| 用於通知您隨時間變化的趨勢 | 用於在記錄檔中出現特定訊息時通知您 | 用於在記錄項目視窗中通知您模式 | 記錄指標 記錄式警示 SQL 式警示 |
計算方式:
|
僅比對已納入的記錄項目 | 根據滑動時間區間中的記錄項目計算 | 可用的記錄項目 以 SQL 為基礎的警示 |
| 在限定範圍專案的指標範圍內,對所有專案的指標執行作業 | 針對符合下列條件的記錄項目執行操作:
|
對可透過連結資料集存取的記錄檢視畫面執行作業。連結的資料集可位於任何專案中。 | 指標範圍 已連結的資料集 |
| 指標值在指定期間內符合條件時,系統會建立事件 | 每當特定記錄項目符合篩選器時,就會建立事件 | 當查詢結果資料表符合條件時,系統就會建立事件 | 事件和通知 |
| 在「監控」中建立及管理 | 在「記錄」中建立; 在「監控」中管理 |
在 Log Analytics 中建立,在監控中管理 | 建立及管理快訊政策 以 SQL 為基礎的快訊 |
| 在 Monitoring 中查看 | 在 Monitoring 中查看 | 在 Monitoring 中查看 | 查看快訊政策 |
| 可使用 Monitoring 支援的任何通知管道 | 可使用 Monitoring 支援的任何通知管道 | 可使用 Monitoring 支援的任何通知管道 | 通知管道 |
可用的記錄項目
使用者定義的記錄指標會根據 Logging API 為 Google Cloud 專案接收的所有記錄項目計算,不論可能套用於 Google Cloud 專案的納入篩選器或排除篩選器為何。如果您根據使用者定義的記錄指標建立快訊政策,則政策會監控所有記錄項目的資料。
系統定義的記錄指標僅會根據Google Cloud 專案記錄檔 bucket 中儲存的記錄項目計算。如果記錄已明確排除,就不會包含在這些指標中。如果您根據系統定義的記錄指標建立快訊政策,則政策只會監控所包含記錄項目的資料。
記錄型快訊政策是在專案中定義,且在下列條件為真時掃描記錄項目:
- 已啟用結帳功能。
- 記錄項目來自專案。
記錄項目來源專案或記錄項目轉送專案中的接收器,會將記錄項目轉送至記錄檔值區。
舉例來說,假設記錄項目來自專案
A。如果專案A中的記錄接收器將記錄項目轉送至記錄檔值區,則專案A中定義的記錄警示政策會掃描記錄項目。舉第二個例子來說,假設記錄項目來自專案
X,而專案X中的記錄接收器會將記錄項目轉送至專案Y。如果專案Y中的接收器將記錄項目轉送至記錄檔值區,則在專案X和專案Y中定義的記錄式警告政策會掃描記錄項目。
您無法使用以記錄為基礎的快訊政策,監控資料夾、帳單帳戶或機構中產生的記錄項目,也無法監控未儲存在記錄檔值區中的記錄項目。如果您建立匯總接收端,這些接收端可能會攔截記錄項目,並防止記錄項目在記錄項目來源專案中的接收端中轉送。
以 SQL 為基礎的警告政策會查詢記錄檔值區的記錄檔檢視畫面。這些記錄值區必須升級至使用 Log Analytics,然後連結至 BigQuery 資料集。如要進一步瞭解以 SQL 為基礎的警告政策,請參閱「使用警告政策監控 SQL 查詢結果」。
監控多項專案的指標
您可以設定指標範圍,監控多項專案的指標。指標範圍會列出監控的所有專案和帳戶。限定範圍專案會代管指標範圍。設定專案範圍會儲存您為指標範圍建立的警告政策和其他設定。指標範圍的範圍專案,是指 Google Cloud 控制台專案選擇器所選專案。
以記錄為準的指標為基礎的警告政策 (例如以其他指標為準的警告政策) 適用於限定範圍專案的指標範圍內的所有專案。
指標範圍與以記錄項目為準的快訊政策無關,例如以記錄為準和以 SQL 為準的政策。
如要進一步瞭解指標範圍 (包括多專案指標範圍) 和限定範圍專案,請參閱以下文章:
事件和通知
當符合快訊政策的條件時,Monitoring 會開啟事件,並傳送通知至快訊政策的通知管道。如要查看事件詳細資料,請在通知訊息中按一下「查看事件」,或直接前往「監控」中的「事件」頁面。
以指標為準的快訊政策事件
如同「警報行為」一文所述,以記錄為基礎的指標為依據的警報政策會建立事件和通知,就像監控中其他以指標為依據的警報政策一樣。如要進一步瞭解如何管理以指標為基礎的警告政策事件,請參閱「以指標為基礎的警告政策事件」。
以記錄檔為準的警告政策事件
記錄檔警告政策並非以指標為準的快訊政策。當記錄項目符合記錄式快訊政策的條件時,Monitoring 會建立事件和通知,如下所示:
當 Cloud Logging 第一次將記錄項目寫入記錄資料夾,且該項目與警告查詢相符時,系統會建立事件並傳送通知。如果系統接著寫入另一個相符的記錄項目,則只有在先前的事件已關閉時,才會建立新的事件。不過,關閉事件最多可能需要三分鐘才能清除。如果在關閉事件後的三分鐘內收到相符的記錄項目,系統可能會重新開啟該事件,而不是建立新的事件。
建立記錄型快訊政策時,您可以指定通知之間的最短時間間隔。舉例來說,假設您選取 10 分鐘做為通知傳送間隔時間,如果在該期間內符合兩次以記錄為準的快訊政策條件,您只會收到一則通知。
以記錄檔為準的快訊政策事件發生率上限為每 5 分鐘 1 件。如果以記錄為基礎的警示政策的查詢擷取標籤值,則每個擷取值組合都代表各自的事件時間表。舉例來說,假設以記錄為基礎的警示政策會擷取標籤的值,且標籤可有兩個值。在這個設定下,您可以在 5 分鐘內開啟兩個事件,每個標籤值對應一個事件。
每項以記錄檔為準的警報政策,每天最多可產生 20 個事件。如果達到這個上限,通知會顯示您已達到當天的上限。
事件會在自動關閉期限過後自動關閉。預設的自動關閉時間為 7 天。
自動關閉期限會指定事件必須在多久後關閉,且在該時間內,事件原因不得重複發生。因此,當事件處於開啟狀態,且事件發生原因再度發生時,事件可能會持續開啟,時間會超過自動關閉時間。
如要進一步瞭解如何管理記錄檔型快訊政策的事件,請參閱「管理記錄檔型快訊政策的事件」。
以 SQL 為準的警告政策事件
針對以 SQL 為基礎的快訊政策,Cloud Monitoring 會在 SQL 查詢結果首次符合政策中指定的條件時建立事件。每項快訊政策只能有一個未解決事件。在事件開啟期間,如果條件再次滿足,Monitoring 就不會再建立事件或傳送其他通知。監控系統會在七天後關閉以 SQL 為基礎的事件,除非您設定較短的事件關閉期限,或自行關閉事件。
如要進一步瞭解如何管理以 SQL 為基礎的快訊政策事件,請參閱「管理以 SQL 為基礎的快訊政策事件」。
建立及管理快訊政策
您可以像其他以指標為準的警告政策一樣,在 Cloud Monitoring 中建立、修改及刪除以記錄為基礎的指標警告政策。詳情請參閱「管理政策」。
您可以使用記錄檔探索工具或 Cloud Monitoring API 建立以記錄為基礎的快訊政策。您可以在 Monitoring 中或透過 Cloud Monitoring API 修改及刪除以記錄為基礎的快訊政策。詳情請參閱「管理以記錄為基礎的快訊政策」。
您可以使用 Log Analytics 或 Cloud Monitoring API 建立以 SQL 為基礎的快訊政策。您可以在 Monitoring 中或使用 Cloud Monitoring API 修改及刪除以 SQL 為基礎的快訊政策。詳情請參閱「透過快訊政策監控 SQL 查詢結果」。
查看快訊政策
「監控」中的「政策」頁面會列出 Google Cloud 專案中的所有警示政策。此清單包含使用記錄指標和記錄警告政策的政策。
-
前往 Google Cloud 控制台的 notifications「Alerting」(警告) 頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 選取「查看所有政策」。
清單中會顯示以記錄為依據的警示政策,且「類型」欄中的值為 Logs。清單中會顯示以指標為依據的警示政策,包括以記錄為依據的指標,且「Type」欄中的值為 Metrics。以 SQL 為基礎的警示政策會顯示在清單中,且「類型」欄中的值為 SQL。以下螢幕截圖顯示政策清單的摘錄:
通知管道
您可以將任何類型的快訊政策通知傳送至 Monitoring 支援的任何通知管道。您必須先設定這些管道,才能在快訊政策中使用這些管道。
詳情請參閱「管理通知管道」。
授權要求
如要使用記錄指標或記錄快訊政策,您必須同時取得 Cloud Logging 和 Cloud Monitoring 的授權。
如要瞭解使用者定義的記錄指標,請參閱「記錄指標的權限」。
如要瞭解記錄警告政策的權限,請參閱「記錄警告政策的權限」。
如要瞭解以 SQL 為基礎的快訊政策,請參閱「以 SQL 為基礎的快訊政策的權限」。
費用與限制
如果您定義了自有的記錄指標,則適用下列規定:
- 使用者定義的記錄指標數量和結構有限制。如要進一步瞭解這些限制,請參閱「記錄指標的限制」。
- 使用者定義的記錄指標可能會產生費用。如要進一步瞭解與指標攝入相關的費用,請參閱「計費指標」。
- 以 SQL 為基礎的警示政策會在 Google Cloud 專案的 BigQuery 預留空間中執行。您可能會因預訂 BigQuery 而產生費用。如要進一步瞭解與 BigQuery 預留項目相關的費用,請參閱 BigQuery 定價。
使用以記錄為準的指標建立快訊政策不會產生任何費用。
以下是與快訊政策相關的監控限制:
| 類別 | 值 | 政策類型 1 |
|---|---|---|
| 警告政策 (指標和記錄的總和),按指標範圍 計算2 | 500 | 指標、記錄檔 |
| 每個以指標為準的快訊政策的條件 | 6 | 指標 |
| 每個 以 SQL 為基礎的警示政策的條件 (公開測試版) | 1 | SQL |
| 以 SQL 為基礎的警示政策的查詢執行時間上限 (公開測試版) | 5 分鐘 | SQL |
缺少指標條件評估的最大時間長度3 |
1 天 | 指標 |
metric-threshold 條件評估的最大時間長度3 |
23 個小時 30 分鐘 | 指標 |
| 在指標門檻條件中使用的篩選器長度上限 |
2,048 個 Unicode 字元 | 指標 |
| 預測條件監控的時間序列 數量上限 |
64 | 指標 |
| 最短預測期間 | 1 小時 (3,600 秒) | 指標 |
| 預測期間上限 | 2.5 天 (216,000 秒) | 指標 |
| 每個快訊政策的通知管道 | 16 | 全部 |
| 以記錄檔為準的快訊事件發生率上限4 |
每 5 分鐘 1 次事件 | 記錄 |
| 以記錄檔為準的快訊事件數量上限 |
每個以記錄為準的快訊政策每天 20 起事件 | 記錄 |
| 每個事件的通知數量上限:5 (記錄檔型快訊) |
每個事件每天 20 則通知 | 記錄 |
| 每個專案同時觸發的快訊政策 數量上限 |
80,000 | 全部 |
| 每個快訊政策中同時存在的未解決事件數量上限 |
1,000 | 全部 |
| 事件沒有新資料時,系統會在 自動關閉事件的期限 |
7 天 | 指標、SQL |
| 事件 (如果未手動關閉) 的最大時間長度 | 7 天 | 記錄 |
| 已結案事件的保留期限 | 13 個月 | 不適用 |
| 未解決事件的保留期限 | 無限期 | 不適用 |
| 通知管道 (依指標範圍 ) | 4,000 | 不適用 |
| 每個延後的快訊政策數量上限 | 16 | 全部 |
| 延後鬧鐘的保留時間 | 13 個月 | 不適用 |
2Apigee 和 Apigee hybrid 與 Cloud Monitoring 深度整合。所有 Apigee 訂閱層級 (Standard、Enterprise 和 Enterprise Plus) 的警示限制與 Cloud Monitoring 相同:每個指標範圍 500 個。
3條件評估的最大時間範圍,是對齊期間和時間範圍值的總和。舉例來說,如果對齊期間設為 15 小時,且時間長度視窗設為 15 小時,則需要 30 小時的資料才能評估條件。
4如果以記錄為基礎的警示政策的查詢擷取標籤值,則每個擷取值組合都代表各自的事件時間表。舉例來說,假設以記錄為基礎的警示政策會擷取標籤的值,而標籤可以有兩個值。在這個設定下,您可以在 5 分鐘內建立兩個事件,每個標籤值對應一個事件。
5針對記錄快訊,如果系統收到符合篩選條件的記錄項目,且自上次通知發出後已過至少 5 分鐘,監控服務就會針對未解決的事件傳送新通知。每個事件每天最多會傳送 20 則通知。每則通知都會傳送至快訊政策的所有已設定通知管道。